JUnit에서 Auth 테스트를 하는 방법은?

Q1: JUnit에서 Auth 테스트란 무엇인가요?
A1: Auth 테스트는 애플리케이션의 인증(Authentication) 및 권한(Authorization) 관련 기능이 제대로 동작하는지 검증하는 테스트입니다. 예를 들어, 올바른 사용자 인증 여부, 로그인 성공 및 실패 케이스, 권한에 따른 접근 제어 등을 테스트합니다.

---

Q2: JUnit 환경에서 Auth 테스트를 작성하려면 어떤 준비가 필요한가요?
A2:
- 테스트 라이브러리(JUnit 5 권장)를 설정합니다.
- Spring Security를 사용하는 경우 `spring-security-test` 의존성을 추가합니다.
- MockMvc를 사용해 MVC 컨트롤러의 인증 관련 API를 테스트하거나, 서비스 계층의 인증 로직을 직접 테스트합니다.
- 필요한 경우, 가짜(또는 Mocked) 사용자 데이터 및 권한을 준비합니다.

---

Q3: Spring Boot 프로젝트에서 인증 기능을 JUnit으로 테스트하려면 어떻게 하나요?
A3:
- `@SpringBootTest` 또는 `@WebMvcTest` 어노테이션을 사용해 테스트 컨텍스트를 만듭니다.
- `spring-security-test` 라이브러리에서 제공하는 `@WithMockUser`, `SecurityMockMvcRequestPostProcessors` 등으로 인증된 사용자를 모킹합니다.
- 예를 들어, MockMvc를 통해 다음과 같이 인증된 요청을 보냅니다.
```java
mockMvc.perform(get("/secured-endpoint")
.with(user("user").roles("USER")))
.andExpect(status().isOk());
```

---

Q4: 인증 실패 시나리오도 테스트할 수 있나요?
A4: 네, 인증 정보를 제공하지 않거나 잘못된 정보로 요청을 보내어 401 Unauthorized 또는 403 Forbidden 응답 상태를 검증할 수 있습니다. 예:
```java
mockMvc.perform(get("/secured-endpoint"))
.andExpect(status().isUnauthorized());
```

---

Q5: 토큰 기반 인증(JWT 등)은 어떻게 테스트하나요?
A5:
- JWT토큰을 생성하는 유틸리티 메서드를 테스트 코드에 구현하거나, 실제 서비스 모듈을 활용해 테스트용 토큰을 만듭니다.
- MockMvc 요청 시 헤더에 Authorization: Bearer {token} 형태로 토큰을 넣습니다.
- 토큰 유효성, 권한 검증이 정상 작동하는지 상태 코드와 응답 내용을 검증합니다.
예:
```java mockMvc.perform(get("/api/protected")
.header("Authorization", "Bearer " + validToken))
.andExpect(status().isOk());
```

---

Q6: 서비스 레이어(비즈니스 로직)에서 Auth 관련 메서드를 테스트하려면?
A6:
- `@WithMockUser` 어노테이션을 메서드 또는 클래스에 사용해 SecurityContext에 인증된 사용자를 세팅합니다.
- 또는 `SecurityContextHolder`를 직접 설정해서 테스트를 실행합니다.
- 이렇게 하면 Service에서 `SecurityContextHolder.getContext().getAuthentication()` 메서드 호출 시 인증된 사용자 정보를 사용할 수 있습니다.

---

Q7: 테스트 중 SecurityContext를 초기화하거나 재설정할 수 있나요?
A7: 네, `@BeforeEach` 혹은 `@AfterEach` 메서드에서 `SecurityContextHolder.clearContext()`로 초기화하거나, 직접 `SecurityContext` 객체를 세팅할 수 있습니다.

---

Q8: 권한별 접근 제어 테스트는 어떻게 구현하나요?
A8:
- `@WithMockUser(roles = {"ADMIN"})` 등 역할(Role)을 지정해 테스트하고자 하는 사용자 권한을 설정합니다.
- 권한이 없는 사용자의 접근 시도는 403 Forbidden 응답을 확인합니다.
- 적절한 권한일 때는 정상 접근이 되는 것을 검증합니다.

---

Q9: 비동기 인증 요청 테스트도 가능한가요?
A9:
- MockMvc의 async 요청 기능을 활용해 인증 후 비동기 처리되는 부분을 테스트할 수 있습니다.
- 인증 정보가 올바르게 전달되고, 이후 비동기 작업에서 올바른 SecurityContext가 유지되는지 확인해야 합니다.

---

Q10: 외부 인증 서버(OAuth2, OpenID Connect) 연동 인증 테스트는 어떻게 하나요?
A10:
- 외부 서버의 실제 호출은 피하고, Mock 서버나 Mock 객체로 토큰 발급 과정을 모킹합니다.
- `spring-security-test`의 `oauth2Login()` 등을 활용하여 OAuth2 인증 테스트를 진행할 수 있습니다.
- 토큰 교환, 리다이렉션 등 복잡한 흐름은 통합 테스트 형태로 구성하는 것이 일반적입니다.

---

위 내용을 참고하여 JUnit 환경에서 인증 관련 로직을 안전하고 체계적으로 테스트할 수 있습니다.

JUnit에서 인증(Authentication) 테스트를 진행하는 방법은 애플리케이션에서 사용하는 인증 방식에 따라 다소 차이가 있지만, 기본적인 접근법과 함께 스프링 시큐리티(Spring Security)를 사용하는 경우를 예시로 들어 자세히 설명해드리겠습니다.

1. 인증이 필요한 비즈니스 로직 분리 및 테스트 준비 먼저, 인증이 필요한 메서드나 서비스에서는 실제 인증 정보를 필요로 합니다.

이를 테스트할 때 직접 인증 절차를 모방하기보다는, 인증 객체를 주입하거나 모킹(mocking)하는 방식으로 접근합니다.

예를 들어 UserDetailsService, AuthenticationManager 등을 모킹해서 인증 과정을 시뮬레이션할 수 있습니다.



2. 스프링 시큐리티 연동 테스트환경 구성 스프링 부트 + 스프링 시큐리티 환경이라면 JUnit 테스트에 @SpringBootTest, @WebMvcTest 어노테이션과 함께 @WithMockUser, @WithUserDetails 같은 시큐리티 관련 어노테이션을 활용할 수 있습니다.

- @WithMockUser: 이 어노테이션을 통해 임의의 인증된 사용자를 지정할 수 있습니다.

기본적으로 username은 "user", role은 "USER"로 설정됩니다.

필요한 경우 username, roles 파라미터를 변경할 수 있습니다.

- @WithUserDetails: UserDetailsService에서 특정 사용자를 조회하여 테스트에 활용할 수 있습니다.



3. MockMvc를 이용한 웹 계층 인증 테스트 웹 계층(컨트롤러) 테스트 시에는 MockMvc를 활용해 HTTP 요청 시 인증이 있는지 시뮬레이션할 수 있습니다.

예를 들어, 인증된 사용자로 API 요청을 보내려면 다음과 같이 합니다.

```java mockMvc.perform(get("/api/secure-endpoint") .with(user("testUser").roles("USER"))) .andExpect(status().isOk()); ``` 위와 같이 `.with(user())`를 이용해 인증된 사용자로 요청할 수 있으며, 역할(Role) 역시 지정 가능합니다.



4. SecurityContext 직접 설정하기 서비스나 비즈니스 로직 단위 테스트에서는 SecurityContext에 인증 객체를 직접 세팅해서 인증 상태를 만들어 줄 수 있습니다.

```java @Test public void testServiceWithAuthentication() { UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken("username", "password", Collections.singleton(new SimpleGrantedAuthority("ROLE_USER"))); SecurityContextHolder.getContext().setAuthentication(auth); // 인증된 상태에서 실행할 서비스 호출 myService.secureMethod(); // 결과 검증 } ``` 이 방식은 별도의 웹 계층 없이도 간단하게 인증된 상태를 만들고 실행할 수 있어 편리합니다.



5. JWT, OAuth 등 토큰 기반 인증 테스트 만약 JWT(JSON Web Token)나 OAuth 기반 인증을 사용한다면, 토큰 생성 로직을 테스트에 작성하거나, 미리 발급된 토큰을 Authorization 헤더에 추가해 요청합니다.

```java mockMvc.perform(get("/api/secure-endpoint") .header("Authorization", "Bearer " + accessToken)) .andExpect(status().isOk()); ``` 이 과정에서 토큰 생성은 직접 하거나, 토큰 생성 서비스를 모킹하여 진행할 수 있습니다.



6. 인증 실패 테스트 올바르지 않은 인증 정보나 권한 없는 사용자에 대해서도 테스트가 필요합니다.

- 인증 안된 상태에서 접근 시 401 Unauthorized - 인증은 되었으나 권한이 없는 경우 403 Forbidden ```java mockMvc.perform(get("/api/secure-endpoint")) .andExpect(status().isUnauthorized()); // 인증 정보 없이 mockMvc.perform(get("/api/admin-endpoint") .with(user("user").roles("USER"))) // 권한 부족 .andExpect(status().isForbidden()); ```

7. 정리하면 - 인증 관련 서비스는 필요한 객체(AuthenticationManager, UserDetailsService)를 모킹해서 인증 과정을 테스트 - 웹 계층 테스트는 MockMvc + 스프링 시큐리티 테스트 지원 어노테이션/메서드 활용 - SecurityContextHolder에 직접 인증 객체 세팅으로 비즈니스 로직 단위테스트도 가능 - 토큰 기반 인증은 토큰 생성 또는 토큰 자체를 활용해 HTTP 헤더에 추가하여 인증 처리 - 인증 성공 및 실패 시나리오 테스트 모두 필요 --- 이런 방식으로 JUnit 테스트 내에서 인증 관련 기능을 검증하면 실제 사용자 인증 상태를 시뮬레이션하며 안전하고 신뢰도 높은 테스트를 작성할 수 있습니다.